Em 2024, a automação de certificados digitais (CLM) se torna crucial

Neste blog, oferecemos uma visão geral dos desenvolvimentos no mercado de PKI e iniciativas futuras na KeyTalk.

Validade máxima de 90 dias para certificados TLS/SSL

Em 3 de março de 2023, o Google anunciou em seu roteiro “Moving Forward, Together” a intenção de reduzir o período de validade máximo para certificados TLS públicos de 398 dias para 90 dias. Esta redução para apenas 90 dias de validade máxima trará mudanças significativas na indústria. Embora o cronograma específico seja desconhecido, é provável que este máximo de 90 dias esteja em vigor até o final de 2024.

Qual é o impacto?

A maioria das organizações ainda gerencia a substituição de certificados TLS/SSL manualmente, ou é terceirizada para um gerente de TI externo ou um Provedor de Serviços Gerenciados (MSP), que também o faz manualmente. Com a implementação desta regra proposta pelo Google, a substituição desses certificados será necessária quatro vezes mais frequentemente do que agora, o que pode resultar em custos adicionais significativos. Além disso, o risco de erros nesse processo de substituição quadruplicará, aumentando a probabilidade de comprometer a continuidade da infraestrutura crítica de TI, o que pode levar a custos muito mais altos.

Hora da Automação

Para se manter à frente dos custos crescentes e do risco de custos adicionais devido à descontinuidade da infraestrutura crítica de TI, a automação da substituição de certificados TLS/SSL é essencial. Grandes autoridades de certificação como DigiCert, GlobalSign e Sectigo já alertam sobre isso e, logicamente, oferecem seus próprios sistemas de gerenciamento de certificados para esse fim. Para evitar dependência desnecessária dessas entidades, é sensato considerar sistemas independentes de Gerenciamento do Ciclo de Vida de Certificados (CLM), como o Sistema de Gerenciamento de Certificados e Chaves (CKMS) da KeyTalk. Automação à la Let’s Encrypt Muitos servidores web são equipados com certificados Let’s Encrypt porque a automação padrão é oferecida através do protocolo ACME. A validade desses certificados já é de 90 dias e pode facilmente suportar períodos de validade ainda mais curtos.

A emissão de certificados Let’s Encrypt

não inclui validação da empresa que solicita o certificado, não há verificações em uma Câmara de Comércio, e não há outras verificações de legitimidade para a empresa ou o domínio para o qual o certificado é solicitado. Uma solicitação de certificado na DigiCert, GlobalSign ou Sectigo é processada com as verificações necessárias e, portanto, não é gratuita. Com o CKMS da KeyTalk, no entanto, a solicitação, instalação e substituição de todos os tipos de certificados DV, OV e EV TLS/SSL de todas essas autoridades são automatizadas, e você não precisa se preocupar com certificados válidos por no máximo 90 dias.

Suporte Abrangente para Automação

Com o CKMS da KeyTalk, a automação já é possível há anos com base no agente KeyTalk, semelhante a um agente ACME (Certbot ou WinAcme), mas que, por exemplo, responde à revogação de certificados e à exclusão acidental de certificados, o que os agentes ACME não podem fazer. Como a KeyTalk também funciona como um servidor ACME desde o quarto trimestre de 2023, todos os servidores, equipamentos de rede, como balanceadores de carga e firewalls, e aplicativos que suportam automação com base no protocolo ACME, também são suportados com a automação de certificados TLS/SSL, mas agora para todos os tipos de certificados da DigiCert, GlobalSign e Sectigo (a partir do segundo trimestre de 2024).

Roteiro de Desenvolvimento da KeyTalk para 2024

À medida que começamos mais um ano emocionante, a KeyTalk tem o prazer de anunciar vários novos desenvolvimentos que fazem parte do nosso roteiro para 2024. Essas inovações são projetadas para melhorar nossos serviços e oferecer aos nossos clientes as soluções de segurança mais avançadas. Aqui estão alguns dos destaques principais:

1. Novo Scanner de Rede de Certificados Integrado: Estamos introduzindo um recurso totalmente novo integrado no CKMS da KeyTalk para escanear e importar certificados de rede de forma eficiente, garantindo que a segurança da sua rede esteja sempre atualizada.
2. Integração com Azure KeyVault: A integração perfeita da KeyTalk com o Azure KeyVault está prestes a melhorar a segurança baseada em nuvem, tornando o gerenciamento de certificados mais robusto e simplificado.
3. Suporte Ampliado para Balanceadores de Carga da Citrix NetScaler: Nosso suporte está se expandindo para incluir o Citrix NetScaler, ampliando nossa compatibilidade e oferecendo mais opções para soluções de balanceamento de carga.
4. Suporte Ampliado para Automação de Certificados DV: Estamos aprimorando nossa automação de certificados Validados por Domínio (DV) com validação DNS automatizada para DNS baseados em Azure e AWS, tornando o processo de validação totalmente automatizado.
5. Melhorias em Papéis, Autorizações e Gerenciamento de Fluxo de Trabalho: Espere mais flexibilidade e controle com nossos recursos aprimorados de papéis, autorizações e gerenciamento de fluxo de trabalho, adaptados para atender às diversas necessidades organizacionais.
6. Suporte para ACME para Certificados de Cliente Usando Attestation de Chave ACME: Em nosso compromisso com versatilidade e tecnologia avançada, estamos implementando suporte para ACME para certificados de cliente, utilizando a atestação de chave ACME para maior segurança.
7. Suporte para Protocolo EST e CMPv2: Ao oferecer suporte para o protocolo EST e CMPv2, o CKMS da KeyTalk aprimora suas capacidades na automação de gerenciamento de certificados.
8. Adição de Atestação de Chave HSM: Com a adição da atestação de chave do Módulo de Segurança de Hardware (HSM), estamos reforçando ainda mais a segurança e integridade das chaves criptográficas.

Na KeyTalk, continuamos evoluindo constantemente para acompanhar as últimas tendências e tecnologias em segurança cibernética. Nosso objetivo é oferecer as soluções mais eficientes e seguras aos nossos clientes, e nosso roteiro para 2024 é um testemunho desse compromisso. Fique atento para mais atualizações e avanços no próximo ano! Para mais informações sobre esses recursos futuros ou quaisquer dúvidas sobre nossos serviços, não hesite em nos contatar. Estamos prontos para guiá-lo pelo avançado cenário de segurança cibernética.

A equipe KeyTalk